Cuando Google entra en un mercado, suele cambiar las reglas del juego para sus competidores. Así ocurrió con Google Forms, la herramienta gratuita del gigante tecnológico para crear formularios y cuestionarios, lanzada en 2008 y que, según estimaciones, ya acapara cerca del 50% del mercado global. Sin embargo, su enorme popularidad también ha despertado el interés de los ciberdelincuentes, que han encontrado en Google Forms un canal perfecto para lanzar estafas, robar información sensible e incluso distribuir malware, aprovechando la confianza que los usuarios depositan en esta plataforma.
Según ESET, compañía líder en ciberseguridad, los actores maliciosos aprovechan diversas características de Google Forms: su gratuidad, lo que les permite lanzar campañas masivas; la confianza que inspira entre los usuarios, lo que aumenta las probabilidades de que las víctimas crean que el formulario al que están siendo dirigidas es legítimo; su apariencia de servicio oficial, que ayuda a evadir filtros de seguridad tradicionales; y su sencillez de uso, que facilita la creación de ataques sofisticados sin necesidad de amplios conocimientos técnicos. Todo ello se combina con el cifrado TLS y el uso de URLs dinámicas, que dificultan la detección de formularios fraudulentos por parte de muchas herramientas de seguridad.
Entre los métodos de ataque más utilizados destacan los formularios falsos que imitan páginas de inicio de sesión de redes sociales, bancos o universidades, diseñados para robar credenciales de acceso, datos bancarios o persuadir a las víctimas para instalar malware. También se han detectado campañas de “phishing por llamada” (call back phishing), donde el formulario engaña al usuario para que llame a un número y sea manipulado por grupos de vishing. Asimismo, los ciberdelincuentes abusan de la función de cuestionarios (quiz spam) al crear tests y añadir las direcciones de correo electrónico de las víctimas: al pulsar “publicar calificaciones”, se genera un mensaje que los atacantes pueden personalizar, incluyendo enlaces a sitios de phishing, malware o estafas.
Casos recientes incluyen la campaña “BazarCall”, que suplanta marcas reconocidas como PayPal o Netflix para informar de cargos falsos y solicitar llamadas a números fraudulentos, así como ataques dirigidos a universidades estadounidenses, donde los ciberdelincuentes buscan robar credenciales y datos financieros mediante formularios y correos electrónicos falsificados.
Según Josep Albors, director de investigación y concienciación de ESET España, “estos ataques son un claro ejemplo de cómo los ciberdelincuentes aprovechan herramientas de confianzas para reforzar la apariencia de legitimidad de sus campañas. Es fundamental que tanto usuarios como organizaciones sean conscientes de que la popularidad de un servicio no garantiza su seguridad. La prevención, combinada con soluciones de seguridad multicapa, es esencial para mitigar estos riesgos y proteger los datos personales y financieros”.
ESET recomienda a los usuarios seguir buenas prácticas de ciberseguridad para protegerse de estas amenazas: utilizar contraseñas robustas y únicas almacenadas en gestores de contraseñas, activar la autenticación multifactor (MFA) en todas las cuentas, prestar atención a los avisos que Google incluye en sus formularios (como la advertencia de no enviar contraseñas) y, sobre todo, desconfiar de correos electrónicos no solicitados que pidan realizar acciones urgentes.
En caso de sospechar haber sido víctima de una estafa de este tipo, se aconseja cambiar de inmediato las contraseñas, realizar un análisis de malware en los dispositivos, contactar con las entidades bancarias para bloquear posibles operaciones y activar medidas de seguridad adicionales en todas las cuentas.